Datenschutz im Betrieb

Mitarbeiter-Corona-Daten: Wie erfolgt die korrekte Löschung?

Die Coronapandemie hat auch hinsichtlich der Datenschutzbestimmungen einiges durcheinandergebracht. So kam es in Unternehmen flächendeckend zur ausnahmsweisen Erhebung von personenbezogenen Mitarbeiterdaten mit Coronabezug – also Gesundheitsdaten, die in der DSGVO als besonders schutzwürdig eingestuft sind. Wie verhält es sich nun mit der Löschung dieser sensiblen Daten?

Generell haben die Infektionsschutzgesetze der Länder in Unternehmen und Betrieben das Datenschutzrecht zeitweise eingeschränkt, um eine effektive Pandemie-Bekämpfung möglich zu machen. So wurden zum Beispiel negative Testergebnisse von Mitarbeitern erfasst und gespeichert. Ebenso wurde in vielen Unternehmen die „G-Zustände“ der Mitarbeiter erfasst und gespeichert. In anderen Fällen wurde unter Kollegen veröffentlicht, wenn Mitarbeiter positiv getestet wurden, um das mögliche Infektionsgeschehen in der Kollegenschaft nachkontrollieren zu können.

All diese personenbezogenen Daten sind in Außer-Pandemiezeiten in höchstem Maße schützenswert und dürften unter Normalbedingungen weder erfasst noch veröffentlicht werden. Nur durch die Infektionsschutzgesetze der Länder konnte für die besonders heiklen Zeitfenster innerhalb der Pandemie der Datenschutz teilweise außer Kraft gesetzt werden. Umso notwendiger ist es nun, die pandemiebedingt erfassten und gespeicherten Daten umgehend wieder zu löschen.

Wie ist grundsätzlich mit personenbezogenen „Pandemie-Daten“ zu verfahren?

Da wir in Deutschland noch weit von einem offiziellen Pandemie-Ende entfernt sind, wird es auch in den kommenden Monaten immer wieder zur Erfassung von „Pandemie-Daten“ kommen, da die Unternehmen auch weiterhin ihre Belegschaften so gut wie möglich vor Infektionen schützen werden. Art. 5 Abs. 2 DSGVO verlangt mit der Rechenschaftspflicht, dass die Einhaltung der Grundsätze des Art. 5 Abs. 1 DSGVO für die Verarbeitung von personenbezogenen Daten nachzuweisen sind. Dazu gehören verbindliche und dokumentierte Regelungen zum Umgang mit den personenbezogenen Daten, beispielsweise über Art und Umfang der zu verarbeitenden Daten, Ort und Dauer der Speicherung und über deren Löschung. Dazu gehören exakte Angaben zur Durchführung der Corona-Tests und Kontrollen, zum Ort und zur Dauer der Speicherung der Daten und zu gegebener Zeit zum Nachweis der Löschung. Mit der operativen Durchführung des gesamten Prozesses ist im Unternehmen eine prozessverantwortliche Stelle zu beauftragen, die Teilaufgaben und Verantwortlichkeiten delegieren kann und in einem Löschkonzept auch die Löschung der Daten verbindlich regelt.

Wie sollte die Löschung terminiert und durchgeführt werden?

Vor allem Unternehmen und Betriebe, die keine aktuellen Corona-Schutzmaßnahmen mehr durchführen und auf Sicht keine weiteren planen, sollten unverzüglich zur Löschung der „Corona-Daten“ schreiten. Zu einem Löschkonzept gehören insbesondere die Festlegung der zu löschenden Daten, Löschregeln, Löschanweisungen für die Durchführung der Löschung oder die Vernichtung anlog erfasster Daten, beispielsweise der Sicherheitsstufe nach DIN 66399 und die Regelung des Löschnachweises durch die prozessverantwortliche Stelle. Der Löschnachweis kann je nach Art der Löschung oder Vernichtung durch geeignete maschinelle oder manuelle Löschprotokolle erfolgen. Ebenso geeignet sind Bestätigungen oder Vernichtungszertifikate durch einen externen Dienstleister, der mit der Löschung beauftragt wird.

Sechs Jahre Aufbewahrungspflicht beachten

Die Löschungsnachweise sind bei der Dokumentation des Gesamtprozesses für mindestens sechs Jahre aufzubewahren (Aufbewahrungsfrist sechs Jahre wie Geschäftsunterlagen). Eine zusätzliche Bestätigung dieser Vernichtung an den Datenschutzbeauftragten ist nicht gefordert, weil der Datenschutzbeauftragte zwar kontrollierend tätig ist, aber keine operative Prozessverantwortung trägt. Die Löschbestätigungen sind jedoch für eventuelle Kontrollen durch Datenschutzbeauftragte vorzuhalten.

Zurück

Abonnieren Sie unseren kostenlosen Datenschutz-Fachinformationsdienst und bleiben Sie stets aktuell informiert:

  • Datenschutz-Fokusthemen
  • Veröffentlichungen der Behörden
  • Relevante Gerichtsentscheidungen

Als Dankeschön für Ihre Anmeldung erhalten Sie eine Gratis-Mustervorlage für die Umsetzung eines Löschkonzepts.